fortify介绍
fortify是一款---的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分---,主要是将代码经过编译,依托于其---的内置规则库来发现漏洞的。其次fortify sca团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,fortify版本升级,来增强fortify sca的漏洞识别能力,同时经过自定义规则,也可以降低---,使静态分析的准确度和性。
默认情况下,fortify sca使用安装的安全编码规则包来检查源代码,并定义一系列可能出现的问题,如可者李勇的安全漏洞和---的编码缺陷。
安全编码规则中的规则分析受支持语言的和扩展的api包中的函数,并将分析结果记录在fortify sca中。每一个问题的解释包含了对问题的描述和建议的解决方案,一边---的解决程序中的漏洞和缺陷。也可以通过创建自定义规则包来准确地分析特定的应用程序,验证专门的安全规则以及细化fortify sca所报告的问题。
fortify 软件安全中心ssc
micro focus fortify 软件安全中心ssc是一个集中的管理存储库,为企业的整个应用安全程序提供可视性,以帮助解决整个软件组合的安全漏洞。
用户可以评估、审计、优先级排序和管理修复工作,安全测试活动,并通过管理仪表板和报告来衡量改进,以优化静态和动态应用安全测试结果。因为 fortify ssc 服务器位于中心位置,fortify---,可以接收来自不同应用的安全性测试结果包括静态、动态和实时分析等,有助于准确描述整体企业应用安全态势。
fortify ssc 可以对扫描结果和评估结果实现关联---,fortify购买价格,并通过 fortify audit workbench 或 ide 插件如 fortify plugin for eclipse, fortify extension for visual studio向开发人员提供这些信息。用户还可以手动或自动地将问题推送到缺陷---系统中,包括 alm octane、jira、tfs/vsts 和 bugzilla 等。
fortify扫描漏洞解决方案
log forging漏洞
1.数据从一个不可---的数据源进入应用程序。 在这种情况下,数据经由getparameter()到后台。
2. 数据写入到应用程序或系统日志文件中。 这种情况下,数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,fortify,审阅日志文件可在---时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的---。的情况是,攻击者可能通过向应用程序提供包括适当字符的输入,在日志文件中插入错误的条目。如果日志文件是自动处理的,那么攻击者可以破坏文件格式或注入意外的字符,从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式,受到破坏的日志文件可用于掩护攻击者的---轨迹,甚至还可以牵连第三方来执行---行为。糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理实用程序中的漏洞。
|
登录后台
